Pawn Storm Update: iOS spionage app gevonden

Origineel artikel door: Lambert Sun, Brooks Hong (Mobile Threat Analysts) en Feike Hacquebord Senior Threat Researcher)

Pawn Storm iOSIn ons onderzoek naar Operation Pawn Storm hebben we een interessante kwaadaardige pawn gevonden, spyware die special is ontwikkeld voor spionage op iOS-apparaten. Hoewel spyware gericht op Apple-gebruikers vrij opmerkelijk is, is dit type spyware ook betrokken bij een gerichte aanval.

Achtergrond Operation Pawn Storm
Operation Pawn Storm is een actieve economische en politieke cyberspionage operatie die zich op een breed scala aan entiteiten richt, zoals het leger, overheden, defensie en media. 

De criminelen achter Pawn Storm proberen eerst een reeks van verschillende acties uit te voeren, in de hoop dat ze hiermee dichterbij hun daadwerkelijke doel uitkomen. Zodra ze erin slagen om het doel te infecteren, zetten ze een volgende stap: geavanceerde spionage-malware.

De iOS-malware die we hebben gevonden, behoort tot dit type geavanceerde malware. Wij vermoeden dat de iOS malware wordt geïnstalleerd op een systeem dat reeds gecomprimeerd is. Het is vergelijkbaar met de SEDNIT-malware die we gevonden hebben op de systemen van Microsoft Windows.

We hebben twee malicious iOS-applicaties gevonden in Operation Pawn Storm. Een is XAgent genoemd (gevonden als IOS_XAGENT.A) en de andere gebruikt de naam van een legitieme iOS game, namelijk MadCap (gevonden als IOS_XAGENT.B). Na analyse hebben we geconcludeerd dat beide applicaties gerelateerd zijn aan SEDNIT.

Het voor de hand liggende doel van SEDNIT-gerelateerde spyware is om persoonlijke data te stelen, audio op te nemen, screenshots te maken en dit te versturen naar de command-and-control (C&C) server.

Analyse van XAgent
De XAgent-app is een volledig functionele malware. Nadat het geïnstalleerd is op iOS 7 is het icoontje van de app verborgen en draait het direct op de achtergrond. Als we dit proberen te stoppen door het proces te beëindigen, herstart het vrijwel onmiddellijk.

Bij het installeren van de malware op een apparaat met iOS 8 geeft het andere resultaten. Het icoontje is dan niet zichtbaar en het herstart zichzelf ook niet automatisch. Dit suggereert dat de malware is ontwikkeld voorafgaand aan de release van iOS 8.

Mogelijkheden van datadiefstal
De app is ontworpen om allerlei informatie van het iOS-apparaat te verzamelen. Het is in staat om onder andere berichten te verzamelen, de WiFi-status te registreren en geluiden op te nemen.

C&C Communicatie
Naast het verzamelen van informatie vanaf het iOS-apparaat verstuurd de app informatie via HTTP. Het maakt gebruik van POST request om berichten te versturen en GET request om opdrachten te ontvangen.

Meer gedetailleerde informatie over de analyse vind je op de blog van TrendLabs.

Mogelijke infectie methoden
De exacte methode voor het installeren van deze malware is onbekend. Echter, we weten dat het iOS-apparaat niet per se gejailbreakt hoeft te zijn. We hebben een geval gezien waarbij er wordt aangegeven: “Klik hier om de applicatie te installeren”. De app maakt gebruik van Apple’s ad hoc provisioning, een standaard distributiemethode van Apple voor iOS app-ontwikkelaars. Hierdoor kan de malware geïnstalleerd worden met simpelweg een klik op een link zoals op onderstaande afbeelding te zien is. De link leidt naar https: // www {BLOCKED} /adhoc/XAgent.plist, een dienst die draadloos apps installeert.

Er kunnen ook andere infectiemethoden zijn om dit type malware te installeren. Een mogelijk scenario is dat bijvoorbeeld een iPhone wordt geïnfecteerd nadat het is gekoppeld aan een geïnfecteerde Windows laptop via een USB-kabel.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.